CISA kehottaa korjaamaan hyväksikäytetyn Windows 11 -virheen 2. elokuuta mennessä

Windows 11 -haavoittuvuutta, joka on osa Microsoftin korjauspäivitysten korjauspakettia, hyödynnetään luonnossa, minkä vuoksi Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) neuvoo korjaamaan käyttöoikeuksien korotusvirheen 2. elokuuta mennessä.

Suositus on suunnattu liittovaltion virastoille ja huolenaiheille CVE-2022-22047, haavoittuvuus, jonka CVSS-pistemäärä on korkea (7.8) ja joka paljastaa Windows 11:ssä (ja aikaisemmissa versioissa 7) sekä Windows Server 2022:ssa (ja aiemmissa versioissa 2008, 2012, 2016) käytetyn Windows Client Server Runtime Subsystemin (CSRSS) ja 2019) hyökätä.

[ILMAINEN tilaustapahtuma: Liity Keeper Securityn Zane Bondiin Threatpost-pyöreän pöydän keskusteluun ja opi pääsemään turvallisesti koneillesi mistä tahansa ja jakamaan arkaluontoisia asiakirjoja kotitoimistostasi. KATSO TÄTÄ.]

CSRSS-virhe on oikeuksien lisäyksen haavoittuvuus, jonka avulla vastustajat, joilla on ennalta määrätty jalansija kohdejärjestelmässä, voivat suorittaa koodia etuoikeutettomana käyttäjänä. Kun Microsoftin oma tietoturvatiimi ilmoitti virheestä ensimmäisen kerran aiemmin tässä kuussa, se luokiteltiin nollapäiväksi tai tunnetuksi bugiksi ilman korjaustiedostoa. Tämä korjaustiedosto julkaistiin osoitteessa Tiistaina heinäkuun 5.

Fortinetin osaston FortiGuard Labsin tutkijat sanoivat, että häiriön liiketoiminnalle aiheuttama uhka on "keskikokoinen". Tiedotteessa tutkijat selittävät alennettu luokitus, koska vastustaja tarvitsee edistyneen "paikallisen" tai fyysisen pääsyn kohdejärjestelmään käyttääkseen virhettä ja korjaustiedosto on saatavilla.

Hyökkääjä, joka on aiemmin saanut etäyhteyden tietokonejärjestelmään (haittaohjelmatartunnan kautta), voi kuitenkin hyödyntää haavoittuvuutta etänä.

"Vaikka Microsoftin julkaisemasta hyväksikäytöstä ei ole lisätietoja, voidaan olettaa, että tuntematon koodin etäsuoritus antoi hyökkääjälle mahdollisuuden suorittaa sivuttaisliikettä ja laajentaa oikeuksia CVE-2022-22047:lle alttiilla koneilla, mikä viime kädessä salli JÄRJESTELMÄN oikeudet, FortiGuard Labs kirjoitti.

Office- ja Adobe-asiakirjojen sisäänpääsypisteet

Vaikka haavoittuvuutta hyödynnetään aktiivisesti, ei ole tiedossa julkisia todisteita konseptin hyväksikäytöstä luonnossa, jota voitaisiin käyttää lieventämään hyökkäyksiä tai joskus ruokkimaan hyökkäyksiä. The Record -raportti.

"Haavoittuvuuden ansiosta hyökkääjä voi suorittaa koodia JÄRJESTELMÄNÄ, edellyttäen että he voivat suorittaa muun koodin kohteessa", Trend Micro kirjoitti. Zero Day Initiative (ZDI) tiistaina kierros viime viikolla.

"Tämän tyyppiset virheet yhdistetään tyypillisesti koodin suoritusvirheen kanssa, joka on yleensä erityisesti muotoiltu Office- tai Adobe-dokumentti järjestelmän haltuunottamiseksi. Nämä hyökkäykset perustuvat usein makroihin, minkä vuoksi niin monet olivat lannistuneita kuultuaan Microsoftin viivästyneen estämään kaikki Office-makrot oletusarvoisesti", kirjoitti ZDI:n kirjoittaja Dustin Childs.

Microsoft ilmoitti äskettäin estävänsä Visual Basic for Applications (VBA) -makrojen käytön oletusarvoisesti joissakin Office-sovelluksissaan, mutta aikajanaa ei ole asetettu pakottamaan käytäntöä.

CISA lisäsi Microsoft-virheen käyttöluetteloonsa tunnetuista hyödynnetyistä haavoittuvuuksista 7. heinäkuuta (hae "CVE-2022-22047" löytääksesi merkinnän) ja suosittelee yksinkertaisesti "päivityksiä toimittajan ohjeiden mukaan".

[ILMAINEN tilaustapahtuma: Liity Keeper Securityn Zane Bondiin Threatpost-pyöreän pöydän keskusteluun ja opi pääsemään turvallisesti koneillesi mistä tahansa ja jakamaan arkaluontoisia asiakirjoja kotitoimistostasi. KATSO TÄTÄ.]

Kuva: Microsoftin luvalla